“Wir haben nahezu einen Totalausfall der Datenschutzbehörden” sagt Max Schrembs.
netzpolitik.org: Du sieht auch bei Rechtsdurchsetzung des Datenschutzes Reformbedarf. Wo liegt hier das Problem?
Max Schrems: Eines der Probleme ist der nahezu Totalausfall der Datenschutzbehörden. Es gibt natürlich Ausnahmen, aber den meisten fehlt der politische Wille, es fehlen die budgetären Mittel oder das kompetente Personal. Die Leitungsposten der Behörden werden immer öfter nicht unabhängig, sondern politisch besetzt. Eine zweite Amtszeit gibt es nur bei einem wirtschaftsfreundlichen Kurs. Das führt dazu, dass es in Europa nicht mal bei 1,3 Prozent der DSGVO-Beschwerden überhaupt zu einem Bußgeld kommt. Inzwischen herrscht eine Logik des Rechtsbruches vor. In der juristischen Bubble interessiert die DSGVO keine Sau mehr, weil der Anwalt, der dich berät, mehr kostet als die potenzielle Strafe.
Ich hätte das vor einem Jahr noch für reichlich übertrieben gehalten, aber schliesse mich nun doch der Meinung von Max Schrembs an.
Wen es interessiert – ich kann gerne auf Anfrage die Korrespondenz mit dem “Bayrischen Landesbeauftragten für den Datenschutz” für Analysen zur Verfügung stellen.
Es geht hier um die Weitergabe der Namen/ Adressen aller 90.000 Ärztinnen und Ärzte an eine private Firma, die damit Emails mit Tracking Pixel für einen Fragebogen verschickt hat ohne daß sie dafür je ein Einverständnis der Betroffenen hatte. Antwort des Datenschutz Beauftragten “Ihre Vermutungen kann ich nicht nachvollziehen”.
Hier mein Schreiben vom 15.10.2025.
Betreff: Ihr Zeichen 7.608-9-3, Schreiben vom 19.9.2025,
Hier: Ergänzende Angaben zu meiner Beschwerde über den Newsletterversand der Bayerischen LandesärztekammerSehr geehrte Frau ….,
vielen Dank für Ihr Schreiben vom 19.9.2025, in dem Sie auf meine Bitte um Wiederaufnahme des Verfahrens eingehen. Gerne reiche ich die von Ihnen erbetenen ergänzenden Informationen nach und erläutere die technische Grundlage meiner Beschwerde.
1. Newsletter
Die Bayerische Landesärztekammer beruft sich auf Art. 4 BayDSG und Art. 2 Abs. 1 HKaG, um den Versand des Newsletters und die Erhebung von Umfragedaten zu rechtfertigen. Diese Vorschriften regeln jedoch lediglich die Auftragsdatenverarbeitung durch die Kammer im Rahmen ihrer berufsständischen Aufgaben und die gesetzlich zulässige Nutzung von Mitgliederdaten zur Erfüllung ihrer beruflicher Pflichten. Die Weitergabe personenbezogener Daten (mindestens Anrede, Name, E-Mail, akademische Grade) an externe Dienstleister für Tracking-Zwecke und die damit mögliche Verknüpfung mit Umfrageantworten fällt nicht automatisch unter diese Rechtsgrundlage, da die Verarbeitung nicht ausschließlich auf Weisung der Kammer erfolgt, sondern die externe Firma jederzeit Daten eigenständig auswerten kann.
Die erhobenen Tracking-Daten waren zur Erfüllung der gesetzlichen Aufgaben der Kammer im Rahmen ihrer berufsständischen Selbstverwaltung nicht erforderlich. Etwaige ungültige E-Mail-Adressen wären bereits durch Rückläufer erkennbar gewesen; auch der Rücklauf der ausgefüllten Fragebögen hätte als ausreichende Informationsgrundlage gedient. Eine ausdrückliche, informierte Einwilligung der rund 90.000 betroffenen Mitglieder liegt nicht vor. Gerade weil es sich hierbei um Pflichtmitglieder einer öffentlich-rechtlichen Körperschaft handelt, besteht ein erhöhter Schutzbedarf ihrer personenbezogenen Daten.
Daraus folgt, dass die Berufung auf Art. 4 BayDSG sowie Art. 2 Abs. 1 HKaG die datenschutzrechtliche Verantwortlichkeit der Kammer nach der DSGVO nicht ausschließt. Die Weitergabe personenbezogener Daten ohne hinreichende Rechtsgrundlage stellt einen Verstoß gegen Art. 5, 6 und 13 DSGVO dar und kann als Ordnungswidrigkeit im Sinne der §§ 42, 44a BDSG gewertet werden.
Vor diesem Hintergrund erscheint es widersprüchlich, dass die Kammer einerseits die massenhafte Übermittlung von Mitgliederdaten an Dritte rechtfertigt, andererseits jedoch unter Berufung auf die DSGVO die Herausgabe einzelner E-Mail-Adressen von gewählten Delegierten verweigert, die im Rahmen der laufenden Gerichtsverfahren kontaktiert werden sollten. Die unterschiedliche Anwendung datenschutzrechtlicher Maßstäbe erweckt den Eindruck einer interessengeleiteten und damit inkonsistenten Rechtsauslegung.
2. Zum angeblich „anonymen“ Tracking durch externe Dienstleister
Die Newsletter werden über personalisierte Versandlisten aus dem Mitgliederbestand der Bayerischen Landesärztekammer (BLÄK) versendet. Dabei wurden offensichtlich die E-Mails im System von Newsletter2Go mit einer eindeutigen ID versehen, um den Versandstatus (Zustellung, Öffnung, Klick) zurückzumelden.
Ein „anonymes Tracking“ ist in dieser Form technisch unmöglich, da jedes Öffnungstracking über einen individuellen Pixel-Link erfolgt. Der Webserver von Newsletter2Go protokolliert dabei zwangsläufig IP-Adresse, Zeitstempel, User-Agent und Browser des Empfängers. Diese Tracking-Informationen sind über die Empfänger-ID mit den personenbezogenen Mitgliedsdaten (Name, Titel, E-Mail-Adresse) verknüpfbar; damit liegt objektiv eine personenbeziehbare Datenverarbeitung vor. Die Behauptung eines „anonymen Trackings“ durch die BLÄK bzw. den Auftragsverarbeiter ist technisch unzutreffend. Zudem weckt das heimliche Vorgehen Misstrauen.
Um die Vorgänge als Aufsichtsbehörde zu prüfen, wären folgende Maßnahmen sachgerecht:
– Vorlage der genauen Datenfelder der übermittelten Ärztedaten sowie Begründung, warum die E-Mails nicht von der BLÄK-IT versandt wurden.
– Einsicht in die Serverlogs des Sendinblue-Servers für die Termine 11.07. und 25.07.2024, die den Abruf der Tracking-GIFs sowie der HTML-Webversion dokumentieren.
– Vorlage des Vertrages mit dem Dienstleister sowie der Datenfelder der ErgebnismitteilungDie Einladung zum Fragebogen erfolgte über dieselbe E-Mail, die das Tracking implementierte. Die Trackingdaten (Öffnungszeit, IP, Browserdaten, Provider, Betriebssystem etc.) wurden auf demselben Server erfasst, über den auch der Umfragelink in der HTML-Version bereitgestellt wurde. Der Umfragelink in der E-Mail ist formal zwar nicht personalisiert; ein Direktklick gibt IQME die Identität des Empfängers nicht preis. Anders verhält es sich jedoch, wenn der Empfänger die individualisierte Webversion auf dem Brevo-Server (ehemals Sendinblue) geöffnet hat: Dann wird die Empfänger-ID über den Referrer direkt an IQME übermittelt.
Vor diesem Hintergrund wären auch die folgenden Punkte relevant:
– Wurden IQME auch Daten einzelner Ärztinnen und Ärzte übermittelt? Unter der postalischen Adresse der IQME und dem Namen des Geschäftsführers lassen sich primär Informationen zu einer Yoga-Schule finden (yoga4you.eu).
– Hat IQME den Referrer ausgewertet oder Zugriff auf weitere Daten erhalten? – Wie hat IQME unautorisierte oder mehrfach ausgefüllte Fragebögen verhindert, falls nicht über eine Individualisierung?
– Welche (Meta-)Daten wurden der Kammer als Ergebnis zurückgegeben?Die Möglichkeit einer Datenverknüpfung wurde von der BLÄK bisher nicht widerlegt, sondern lediglich verneint – ohne Vorlage technischer Logauszüge oder einer nachvollziehbaren Beschreibung des Datenflusses.
[…]
5. Zusammenfassung und Bitte
Ich halte daher an meiner Einschätzung fest, dass durch den Versand personalisierter Emails mit versteckten Tracking-Mechanismen und einer anschließende Umfrage mehrere Verstöße gegen die DSGVO vorliegen, insbesondere:
Art. 5 Abs. 1 lit. a–c DSGVO (Rechtmäßigkeit, Zweckbindung, Datenminimierung)
Art. 6 DSGVO (fehlende Einwilligung / Rechtsgrundlage)
Art. 13 DSGVO (fehlende Information der Betroffenen)
Art. 28 Abs. 4 DSGVO (Verantwortlichkeit trotz Auftragsverarbeitung)Ich bitte Sie daher, unter Berücksichtigung dieser technischen und rechtlichen Aspekte die BLÄK um eine detaillierte technische Offenlegung der Trackingverfahren zu ersuchen, die Angaben zum „anonymen Modus“ zu verifizieren, und das Beschwerdeverfahren weiterzuführen.